कुछ दिनों पहले GitHub ने NPM पैकेज रिपॉजिटरी इन्फ्रास्ट्रक्चर में दो घटनाओं का खुलासा किया, जिसमें से यह विवरण है कि 2 नवंबर को, बग बाउंटी कार्यक्रम के हिस्से के रूप में तीसरे पक्ष के सुरक्षा शोधकर्ताओं ने एनपीएम रिपॉजिटरी में एक भेद्यता पाई। जो किसी भी पैकेज का एक नया संस्करण प्रकाशित करने की अनुमति देता है, भले ही वह अधिकृत न हो इस तरह के अद्यतन करने के लिए।
भेद्यता माइक्रोसर्विस कोड में गलत प्राधिकरण जाँच के कारण हुई थी वह प्रक्रिया एनपीएम से अनुरोध करती है। प्राधिकरण सेवा ने अनुरोध में पारित डेटा के आधार पर पैकेज पर अनुमति जांच की, लेकिन एक अन्य सेवा जो रिपॉजिटरी में अपडेट अपलोड कर रही थी, ने अपलोड किए गए पैकेज में मेटाडेटा सामग्री के आधार पर पैकेज को प्रकाशित करने के लिए निर्धारित किया।
इस प्रकार, एक हमलावर अपने पैकेज के लिए एक अपडेट के प्रकाशन का अनुरोध कर सकता है, जिस तक उसकी पहुंच है, लेकिन पैकेज में ही किसी अन्य पैकेज के बारे में जानकारी इंगित करता है, जिसे अंततः अपडेट किया जाएगा।
पिछले कुछ महीनों से, एनपीएम टीम वास्तविक समय में मैलवेयर और अन्य दुर्भावनापूर्ण कोड की पहचान करने के लिए हाल ही में जारी पैकेज संस्करणों की निगरानी और विश्लेषण को स्वचालित करने के लिए बुनियादी ढांचे और सुरक्षा सुधारों में निवेश कर रही है।
मैलवेयर पोस्टिंग ईवेंट की दो मुख्य श्रेणियां हैं जो npm पारिस्थितिकी तंत्र में होती हैं: मैलवेयर जो खाता अपहरण के कारण पोस्ट किया जाता है, और मैलवेयर जो हमलावर अपने स्वयं के खातों के माध्यम से पोस्ट करते हैं। हालांकि उच्च-प्रभाव वाले खाता अधिग्रहण अपेक्षाकृत दुर्लभ हैं, हमलावरों द्वारा अपने स्वयं के खातों का उपयोग करके पोस्ट किए गए प्रत्यक्ष मैलवेयर की तुलना में, लोकप्रिय पैकेज अनुरक्षकों को लक्षित करते समय खाता अधिग्रहण दूरगामी हो सकते हैं। हालांकि हाल की घटनाओं में लोकप्रिय पैकेजों के अधिग्रहण के लिए हमारा पता लगाने और प्रतिक्रिया समय 10 मिनट तक रहा है, हम एक अधिक सक्रिय प्रतिक्रिया मॉडल की दिशा में अपनी मैलवेयर पहचान क्षमताओं और अधिसूचना रणनीतियों को विकसित करना जारी रखते हैं।
समस्या भेद्यता की रिपोर्ट के 6 घंटे बाद इसे ठीक किया गया था, लेकिन एनपीएम में भेद्यता अधिक समय तक मौजूद थी टेलीमेट्री लॉग क्या कवर करता है। गिटहब बताता है कि इस भेद्यता का उपयोग करके हमलों का कोई निशान नहीं मिला है सितंबर 2020 से, लेकिन इस बात की कोई गारंटी नहीं है कि समस्या का पहले दोहन नहीं किया गया है।
दूसरी घटना 26 अक्टूबर की है। प्रतिकृति.npmjs.com सेवा डेटाबेस के साथ तकनीकी कार्य के दौरान, यह पता चला था कि बाहरी परामर्श के लिए उपलब्ध डेटाबेस में गोपनीय डेटा था, चैंज में उल्लिखित आंतरिक पैकेजों के नामों के बारे में जानकारी का खुलासा करना।
उन नामों की जानकारी आंतरिक परियोजनाओं पर निर्भरता हमलों को अंजाम देने के लिए इस्तेमाल किया जा सकता है (फरवरी में, इस तरह के हमले ने पेपाल, माइक्रोसॉफ्ट, ऐप्पल, नेटफ्लिक्स, उबर और 30 अन्य कंपनियों के सर्वर पर कोड चलाने की अनुमति दी।)
इसके अलावा, बड़ी परियोजनाओं के भंडारों की जब्ती की बढ़ती घटनाओं के संबंध में और डेवलपर खातों से समझौता करके दुर्भावनापूर्ण कोड का प्रचार, GitHub ने अनिवार्य दो-कारक प्रमाणीकरण शुरू करने का निर्णय लिया. परिवर्तन 2022 की पहली तिमाही में प्रभावी होगा और सबसे लोकप्रिय की सूची में शामिल पैकेजों के अनुरक्षकों और प्रशासकों पर लागू होगा। इसके अतिरिक्त, बुनियादी ढांचे के आधुनिकीकरण पर जानकारी प्रदान की जाती है, जिसमें दुर्भावनापूर्ण परिवर्तनों का शीघ्र पता लगाने के लिए नए पैकेज संस्करणों की स्वचालित निगरानी और विश्लेषण शुरू किया जाएगा।
याद रखें कि 2020 में किए गए एक अध्ययन के अनुसार, केवल 9.27% पैकेज प्रबंधक पहुंच की सुरक्षा के लिए दो-कारक प्रमाणीकरण का उपयोग करते हैं, और 13.37% मामलों में, नए खातों को पंजीकृत करते समय, डेवलपर्स ने समझौता किए गए पासवर्ड का पुन: उपयोग करने का प्रयास किया जो ज्ञात पासवर्ड में दिखाई देते हैं। .
उपयोग किए गए पासवर्ड की ताकत की जांच के दौरान, एनपीएम (पैकेज का 12%) में 13% खातों को "123456" जैसे अनुमानित और तुच्छ पासवर्ड के उपयोग के कारण एक्सेस किया गया था। समस्याओं में 4 सबसे लोकप्रिय पैकेजों के 20 उपयोगकर्ता खाते थे, 13 खाते जिनके पैकेज प्रति माह 50 मिलियन से अधिक बार डाउनलोड किए गए थे, 40 - प्रति माह 10 मिलियन से अधिक डाउनलोड और 282 एक महीने में 1 मिलियन से अधिक डाउनलोड के साथ। निर्भरता की श्रृंखला के साथ मॉड्यूल लोड को ध्यान में रखते हुए, अविश्वसनीय खातों से समझौता करने से एनपीएम में कुल मॉड्यूल का 52% तक प्रभावित हो सकता है।
अंत में, यदि आप इसके बारे में अधिक जानने में रुचि रखते हैं आप विवरण देख सकते हैं निम्नलिखित लिंक में